SoftEther VPN

Solomonレビュー[redémarrage]

SoftEther VPNによるVPN環境構築(2)ネットワーク環境の検討

 

Pocket

SoftEther VPNでVPN環境を構築するにあたり、まず自宅のネットワーク環境について確認しておく必要があります。

また、拠点間接続を考える場合は、その方法についても決めておきます。

自宅のネットワーク環境

以下の説明ではIPv4を前提に説明します。いまだにBフレッツなどIPv6が使えない環境が多いためです。

最近の家庭のネットワーク環境は、だいたいこのような構成になっているでしょう。

光インターネット回線を契約するとブロードバンドルーターをレンタルすることになります。オプションでWi-Fiルーターの機能を付けられるものもありますが、安価なWi-Fiルーターを購入して接続する方が一般的でしょう。

SoftEtherVPN-network-01

機能を図式化した図です。Wi-Fiルーターはルーターと名前はついていますが、通常は有線LANを無線LANに変換するメディアコンバーター(ブリッジ)として機能していることが殆どです。

SoftEtherVPN-network-02

ブロードバンドルーターはいろいろな機能を内蔵していますが、代表的なものは「ルーター」「DNSサーバー」「DHCPサーバー」です。

ルーターの機能は家庭内ネットワークに接続されたパソコンなどからの通信をインターネットに送り、その応答だけを送ったパソコンに返します。ここで応答だけというのは、インターネット側からアクセスされた通信は遮断するということです。この機能のおかげで家庭内ネットワークは安全に使えています。

また、IPアドレスは有限なため枯渇しています。そのため家庭内ネットワークで利用するIPアドレスはローカルネットワーク専用の192.168.aaa.bbbというIPアドレスを使います。ルーターは家庭内ネットワークの192.168.aaa.bbbというIPアドレスとインターネット側のIPアドレスとの変換をNATまたはNAPTという仕組みで行います。

DNSサーバーとは名前からIPアドレスに変換する機能です。インターネット上のサイトは必ずaaa.bbb.ccc.dddというIPアドレスを持っており、通信はこのIPアドレスで行われます。しかし、IPアドレスは人間には覚え難いため、対応する名前を付けています。例えばこのサイトsolomon-review.netも157.112.145.102というIPアドレスを持っています。

IPアドレスは簡単に調べられます。Windowsの場合、コマンドプロンプトで「nslookup サイト名」と打ち込むとIPアドレスが表示されます。この機能を名前解決と言い、名前解決を行うのがDNSサーバーです。

ブロードバンドルーターのDNSサーバーは直接名前解決を行うのではなく中継を行います。パソコンなどからの名前解決要求をプロバイダーのDNSサーバーに問い合わせ、回答をパソコンなどに返しています。

IPアドレスとはインターネット上のサイトだけではなくネットワークにつながっている機器全てが持っています。パソコンなどを家庭内ネットワークに接続するだけでインターネットと通信できるのは自動的にアドレスが割り当てられるためです。このアドレスの割り当てを行うのがDHCPサーバーです。

DHCPサーバーによるIPアドレスの割り当ては恒久的なものではなく時間の決められたリースです。パソコンなどはネットワークに接続されたときにIPアドレスのリース要求をDHCPサーバーに対して行います。DHCPサーバーはIPアドレスとリース時間を返します。パソコンはそのIPアドレスを使って通信を始め、リース時間の半分が経過した時点でDHCPサーバーにリース時間の延長要求を行います。

パソコンは動作している間はIPアドレスのリースが切れないように延長要求を繰り返します。DHCPサーバーはリース期限までに延長要求が無かったIPアドレスについて、既にパソコンは稼働していないと判断して別のパソコンにリースします。

DHCPサーバーはパソコンからIPアドレスの要求があった時にリースするIPアドレスとともにルーターのIPアドレスとDNSサーバーのIPアドレスも返します。これによりパソコンは名前解決をどこへ要求すればよいのか、家庭内ネットワーク以外と通信するにはどこに転送すればよいのかが分かります。

以上が家庭内ネットワークの主な動作です。

地区間接続の2つの方法

地区間接続などする気は無いという場合でも、できればこの部分は読んでおいてください。

後でも地区間接続は可能ですが、設定を大幅に変更する必要が発生する可能性があるためです。前もって設定しておけば追加設定だけで地区間接続が可能となります。

地区間接続の方法は大きく、ブリッジ接続とL3スイッチ接続の2つがあります。

こちらが「ブリッジ接続」で、

SoftEtherVPN-network-03

こちらが「L3スイッチ接続」です。(概念図なので物理構成とは違います)

SoftEtherVPN-network-04

接続に使っているのが「VPNブリッジ」と「VPN L3スイッチ」との違いに見えますが、大きく違いますので説明します。

ブリッジ接続

ブリッジ接続とは同じネットワークとして接続するということです。同じネットワークなので両方とも192.168.aaa.0というネットワークにつながっています。(ネットワークのIPアドレスは最後の項目を0として表します)

まずメリットから。

同じネットワークであるため、BDレコーダーの番組をDLNA経由でパソコンで視聴することもApple TVなどを使ってAirPlayでゲームの中継をすることも可能です。同じネットワークなので片方の地区から他方の地区のネットワークに接続されている機器を自由に使うことが可能となります。

次にデメリット。

前項で説明したようにブロードバンドルーターがネットワークを管理しています。VPNブリッジで同じネットワークとしてつながるとブロードバンドルーターが2台存在することになります。片方を止めてしまうと障害でVPNブリッジによる接続が切れると止めてしまったネットワークは機能しなくなってしまいます。ブロードバンドルーターは通常192.168.aaa.1というIPアドレスですが、2台存在するため片方を通常とは違うIPアドレスに変える必要があります。

また、DHCPサーバーも2台存在するため同じIPアドレスを違うパソコンに割り当てないように担当するIPアドレス帯域を制限する必要があります。例えば地区AのDHCPサーバーは192.168.aaa.10~192.168.aa.19、地区BのDHCPサーバーは192.168.aaa.20~192.168.aaa.29などとです。

帯域を制限してもパソコンがIPアドレスのリースを要求した時、どちらが答えるか分かりません。仮に地区Aのパソコンに地区BのDHCPサーバーが答えてしまうと、そのパソコンは地区Bのブロードバンドルーター経由でインターネットにアクセスすることになります。VPNブリッジに障害が発生して接続が切れてしまうとそのパソコンは地区Bのブロードバンドルーターと通信できずインターネットにアクセスできなくなります。

これらの問題からブリッジ接続の場合はDHCPサーバー止めて固定IPアドレスを使った方が安全です。固定IPアドレスを使う場合はネットワークに接続する機器をすべて書き出し、IPアドレスを割り振って、そのIPアドレスを1台ごと設定していきます。非常に面倒であることは想像できるでしょう。

更に外出先からスマートフォンなどでVPN接続する場合は固定IPアドレスが使えないため、VPN専用にDHCPサーバーを立てる必要があります。

L3スイッチ接続

L3スイッチ接続とは今ある状態のネットワークをそのまま接続することです。ただし、接続するためには予め各地区のネットワークアドレスを重ならないように決めておく必要があります。例えば地区Aは192.168.aaa.0、地区Bは192.168.bbb.0などと、aaa、bbbの部分を重複しないように決めておきます。

まず、メリットから。

ネットワーク構成の変更がブロードバンドルーターのネットワークアドレス変更だけで済みます。地区ごとの管理も今まで通り他の地区を気にせずに行えます。

次にデメリット。

ルーター越え(L3スイッチ越え)が行えるアプリケーションしか使えません。

BDレコーダーへの予約などは行えますがDLNAでの視聴はできません。家庭用のプリンター、例えばCANON製などは同一ネットワークにあるパソコンからしか印刷できません。AirPlayやMiracastも使えません。

基本的にIPアドレスでアクセスできる機器との通信だけが行えます。業務用のプリンターは使えますし、家庭用のプリンターでも設定をIPアドレス指定に変えれば印刷は可能です。NASなどはIPアドレスで指定すればアクセスできます。

AirPlayはルーター越えができないのですが、AirServerというソフトを使うとルーター越えができます。

どちらを選ぶか

できることに制限の無いのがブリッジ接続です。ただし、ネットワークの設定が煩雑となります。友人同士で接続する場合も、いろいろ申し合わせが必要になります。

L3スイッチ接続はできることが限られる代わりにネットワークの設定は簡単になります。友人同士で接続する場合もネットワークアドレスの申し合わせだけであとは自由に設定できます。ファイル共有やリモートサポートなどリソースの共有程度ならL3スイッチ接続で行えます。

今回の記事ではL3スイッチ接続での構築方法を説明します。

設定シートの準備

VPN環境を構築するにあたり設定が必要な値がいくつかあります。

それらをメモしておくための紙かテキストファイルを用意してください。

ファイルの内容はこのような項目です。

SoftEther VPN Server設定シート Ver.2.0

記入日:20XX/XX/XX

1.ネットワークアドレス:192.168.XXX.0
2.ブロードバンドルーター IPアドレス:192.168.XXX.1
3.L3スイッチ IPアドレス:192.168.XXX.254
4.DHCPサーバー 開始IPアドレス:192.168.XXX.XXX
5.DHCPサーバー 割り当て個数:XXX
6.VPNサーバーパソコン IPアドレス: 192.168.XXX.XXX
7.SoftEther VPN Server 管理者パスワード:
8.SoftEther VPN Server DDNSホスト名:
9.仮想HUB名:
10.仮想HUB パスワード:
11.IPsec事前共有鍵:
12.仮想HUB ユーザー名:
13.仮想HUB ユーザーパスワード:

まず、ここまでの説明でどのようにVPN環境を構築したいのかを決めてください。モバイル機器からの接続に関してはこの時点では考えなくて構いません。

地区間接続に関しては今回はやらないとしてもL3スイッチ接続を前提として考えておいてください。すなわち接続する可能性のある相手側のことも考えてネットワークアドレスを決めておくということです。

一般的にブロードバンドルーターのデフォルトのネットワークアドレスは192.168.1.0や192.168.11.0などです。それらと異なるネットワークアドレスにしておけば相手側の環境を変更せずに接続できるということです。

また、ネットワーク機器は通常192.168.XXX.250以降のIPアドレスを使いますので、ここではL3スイッチを192.168.XXX.254としています。

以上のことを考慮して、

  1. ネットワークアドレス:
  2. ルーター IPアドレス:
  3. L3スイッチ IPアドレス:

までを記入しておいてください。

まとめ

簡単に家庭内ネットワークと地区間接続について説明しました。

ネットワーク用語で分からないことがある場合は調べておいてください。

VPN連載記事:

Amazonで見る
Pocket

 

   VPN    コメント 0

コメントフォーム

名前

 

メールアドレス

 

URL

 

 

コメント

*

トラックバックURL: 
おすすめの記事
購読

RSS Feed RSS - 投稿

Twitter
サイト内検索

人気の投稿
最近のコメント
カテゴリー
アーカイブ